Share via


Microsoft Entra-rollen toewijzen aan groepen

Als u het rolbeheer wilt vereenvoudigen, kunt u Microsoft Entra-rollen toewijzen aan een groep in plaats van personen. In dit artikel wordt beschreven hoe u Microsoft Entra-rollen toewijst aan rollentoewijsbare groepen met behulp van het Microsoft Entra-beheercentrum, PowerShell of Microsoft Graph API.

Vereisten

Raadpleeg Vereisten voor het gebruik van PowerShell of Graph Explorer voor meer informatie.

Microsoft Entra-beheercentrum

Tip

Stappen in dit artikel kunnen enigszins variƫren op basis van de portal waaruit u begint.

Het toewijzen van een Microsoft Entra-rol aan een groep is vergelijkbaar met het toewijzen van gebruikers en service-principals, behalve dat alleen groepen die rollen kunnen worden toegewezen, kunnen worden gebruikt.

Tip

Deze stappen zijn van toepassing op klanten met een Microsoft Entra ID P1-licentie. Als u een Microsoft Entra ID P2-licentie in uw tenant hebt, moet u in plaats daarvan de stappen volgen in Microsoft Entra-rollen toewijzen in Privileged Identity Management.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een bevoorrechte rol Beheer istrator.

  2. Blader naar identiteitsrollen>en beheerdersrollen>en beheerders.

    Schermopname van de pagina Rollen en beheerders in Microsoft Entra-id.

  3. Selecteer de naam van de rol om de rol te openen. Voeg geen vinkje toe naast de rol.

    Schermopname van het selecteren van een rol.

  4. Selecteer Toewijzingen toevoegen.

    Als u iets anders ziet dan de volgende schermafbeelding, hebt u mogelijk Microsoft Entra ID P2. Zie Microsoft Entra-rollen toewijzen in Privileged Identity Management voor meer informatie.

    Schermopname van het deelvenster Toewijzingen toevoegen om rollen toe te wijzen aan gebruikers of groepen.

  5. Selecteer de groep die u aan deze rol wilt toewijzen. Alleen groepen waaraan rollen kunnen worden toegewezen, worden weergegeven.

    Als de groep niet wordt vermeld, moet u een roltoewijzingsgroep maken. Zie Een roltoewijzingsgroep maken in Microsoft Entra-id voor meer informatie.

  6. Selecteer Toevoegen om de rol toe te wijzen aan de groep.

Powershell

Een roltoewijzbare groep maken

Gebruik de opdracht New-MgGroup om een roltoewijzingsgroep te maken.

Connect-MgGraph -Scopes "Group.ReadWrite.All","RoleManagement.ReadWrite.Directory"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group has Helpdesk Administrator built-in role assigned to it in Azure AD." -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

De roldefinitie ophalen die u wilt toewijzen

Gebruik de opdracht Get-MgRoleManagementDirectoryRoleDefinition om een roldefinitie op te halen.

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'"

Een roltoewijzing maken

Gebruik de opdracht New-MgRoleManagementDirectoryRoleAssignment om de rol toe te wijzen.

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id

Microsoft Graph API

Een roltoewijzbare groep maken

Gebruik de GROEPS-API maken om een roltoewijzingsgroep te maken.

Aanvragen

POST https://graph.microsoft.com/v1.0/groups

{
    "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
    "displayName": "Contoso_Helpdesk_Administrators",
    "groupTypes": [
        "Unified"
    ],
    "isAssignableToRole": true,
    "mailEnabled": true,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Response

HTTP/1.1 201 Created

De roldefinitie ophalen die u wilt toewijzen

Gebruik de List unifiedRoleDefinitions-API om een roldefinitie op te halen.

Aanvragen

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

Response

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "729827e3-9c14-49f7-bb1b-9608f156bbb8",
            "description": "Can reset passwords for non-administrators and Helpdesk Administrators.",
            "displayName": "Helpdesk Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "resourceScopes": [
                "/"
            ],

    ...

De roltoewijzing maken

Gebruik de API Create unifiedRoleAssignment om de rol toe te wijzen.

Aanvragen

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of Group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

Response

HTTP/1.1 201 Created
Content-type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "<Role assignment ID>",
    "roleDefinitionId": "<ID of role definition>",
    "principalId": "<Object ID of Group>",
    "directoryScopeId": "/"
}

Volgende stappen